车联网面临的安全挑战-电子发烧友网

随着汽车智能网联化发展，OTA成为智能车必备的基础功能，是车辆进行软硬件升级、功能上新、应用更新、漏洞修复等的重要技术手段，实现了车辆持续进化、用户体验持续优化、价值持续创造。但OTA也成了黑客的重点攻击对象，如进行窃听攻击、恶意升级、回滚攻击、DDOS攻击等，使整车OTA升级面临多维安全挑战。

本文首先介绍了车联网面临的安全挑战，其次进行OTA概述，再进行OTA风险分析，最后提出了做好OTA安全的整体设计思路，提升整车OTA升级的安全性。

1 车联网面临的安全挑战

1.1 网联汽车信息安全，汽车行业面临多维度安全挑战

ACES（自驾、联网、电动、共享）面临的网络攻击危险包括近程攻击、中程攻击以及远程攻击。

近程攻击：近距离接触车辆进行攻击的一些点，比如ECU、传感器、IVI、OBD、OBD电子、USB卡槽、车内网络、无钥匙进入等的攻击

中程攻击：蓝牙、4G 5G、WiFi、IT网络、移动APP等中程攻击，比如手机通过蓝牙接近车辆时，通过蓝牙去控制车窗，或者对整个车辆进行启动的攻击

远程攻击：整车厂、供应商、智能网联、服务运营和云端服务等的攻击

从上述维度看，涉及的攻击非常多。但目前行业内缺乏明确的安全标准，只有一些针对性协议。所以，现在很多车都处于裸奔状态，比如说现在的一些新能源车，即使在被攻击或在被入侵，驾驶员也没有任何感知。

目前国内外一些的黑产，对新能源汽车的软件漏洞非常关注。根据2021年全球汽车信息安全报告，云端服务器、管端无钥匙、端的移动APP及OBD的攻击比例较高。近期也有一些有关黑客攻击的新闻，比如某品牌车辆的无钥匙进入系统存在安全风险被黑客攻破。

综上所述，车联网面临的安全挑战现状如下

攻击手法多样：车联网架构复杂，暴露面增多，攻击手法多样

无安全标准：智能网联汽车协议众多，无安全标准

无安全防御：无安全防御的网联汽车，几乎裸奔

黑客关注提升：智能网联汽车攻击收益提升，易引起黑客关注

1.2 网联汽车行业规范日益增多

目前，汽车行业正处于软件定义汽车的时代，软件数量及复杂度越来越高，安全风险点也越来越多，国家关注度随之提高，出具了很多相关的规范，要求车企在制造网联汽车时，必须符合相关的安全要求。

比如海外规范WP29-R155，涉及到车辆制造商需要满足的信息安全强制要求以及如何进行网络安全防护。国内即将发布一个行业要求《汽车整车信息安全技术要求》，规定了汽车整车信息安全技术要求和企业信息安全管理体系要求，涵盖外部连接安全、车辆通信安全、软件升级安全和数据代码安全，并给出了对应的测试方法。

这里再提示一下，国家法律或行业强制标准、影响车辆上市或不取得会遭受处罚的行业指导标准、可以拉开与竞争对手差异的指导性要求或者标准，建议企业采取。

2 OTA概述

2.1 OTA简介

OTA（Over The Air），即远程无线升级。OTA能够在线进行软件和固件更新，及时弥补系统中存在的问题而无需传统的召回。OTA的应用也表明了汽车能够在一定程度上应对信息安全上存在的问题及缺陷。OTA技术几乎成为新车的标配，其不仅可以通过远程升级令车辆“常用常新”，也逐渐成为消除车辆隐患的手段之一。

OTA 分为两类，FOTA和SOTA 。

2.2 传统软件升级流程

传统车辆软件升级流程如下图。车厂通知4S店某个系统可以升级，4S店再通知车主，车厂发送更新的软件CD到4S店，车主将车送到4S店进行升级，升级验证完成后，将车辆交付给车主，4S店再将升级成功的信息反馈给车厂。

没有OTA的安全风险

如果没有OTA，只进行传统的软件升级，就会出现很多风险。

首先，升级导致多种问题，如某些功能不能正常使用、汽车变成砖头等。随着智能网联汽车的发展，车辆的软件数量会越来越多，车辆升级也会更加频繁，若采用传统的软件升级，当批量车辆前往4S店升级时，就需要投入大量的人力及资金。同时，如果车辆升级时产生的问题没有进行及时解决，那么事故就会越来越多。而作为车主，则需要花费大量的时间、精力去解决这些问题。

2.3 OTA升级流程

如何可以以更省时的方式更新车载软件，同时确保质量和安全呢？这就产生了OTA。OTA升级流程见下图。

OTA的流程，可以分成三个阶段，第一步云端生产固件或软件更新包，第二步通过通讯管端，安全传输下载更新包，第三步在车端实现更新包的安装。

OTA服务端把升级包推向PKI服务，进行相关的签名认证，此时的升级包除了升级包的内容以外，还有一个签名认证，安全性更高。那再把这个包推到CDN上，告诉车辆需要进行某个版本的OTA，车主确认后，车端进行软件包下载、升级包验签、升级包解密、安全刷写等进行升级。T-BOX是车上的网联设备，它可以连接外部网络访问CDN，把相关的升级包拉下来，通过网关进行一些升级，如车机大屏、IVI、ECU的升级，这就是整个OTA的升级流程。

需要注意的是，车辆进行OTA升级的前提是车主必须同意，不能在车主未知、未了解情况时进行升级。

3 OTA风险分析

3.1 OTA安全风险

在OTA升级的流程中，很多节点都存在安全风险，如OTA服务、PKI服务、T-BOX、PKI服务与T-BOX之间交互、T-BOX推向网关的链路等，均可被黑客控制，进行安全攻击。

3.2 OTA的安全分析

基于OTA的安全风险分析，建立威胁模型，如下图。

从威胁场景的攻击维度看，包括ECU安全风险、密钥安全风险、车内外的中间人攻击风险。攻击目标维度，有一个重要点，是要限制任意软件攻击。目前，车机上并不允许下载所有的APP，目的就是为了避免没有经过安全验证的软件攻击。功能拒绝上，要拒绝回滚攻击、DD0S攻击、混合捆绑攻击及混合攻击。拒绝更新上，要拒绝捆绑安装攻击、丢弃请求攻击，丢弃请求攻击即请求被拦截的攻击。读取更新上，要拒绝窃听更新。

在整体威胁模型里，还要进行防守，如缓解安全风险、进行恶意升级检测。

3.3 各类风险分析

OTA安全风险存在于升级的各个流程，常见的各类安全风险如下表所示。

4 如何做好OTA安全

4.1 资质认证

针对OTA存在的风险挑战，首先要进行资质认证，使OTA符合相关的技术规范或强制性要求等。

首先，OTA相关政策包括数据安全保护法、信息安全保护法、网络安全保护法、汽车安全数据管理、汽车数据安全采集、关键信息基础设施保护条例，如果车辆要销往海外，还需要符合GDPR。

其次，OTA相关认证可分为人、数据、车三方面的认证。有关人的认证，包括ISO27701 、ISO27701隐私认证、 ISO/IEC 29151、APP 安全认证、个人信息保护、MTCS。针对数据的认证包括ISO38505、等保、SOC、CSA STAR、TISAX（可信信息安全传输交换）。有关车的认证包括车辆网络安全和数据保护相关的联合国汽车标准化组织WP29、ISO21434 /SAE 3061、SOTF:ISO 21448 。

最后，基于政策和认证，车企在内部要建立相关的OTA安全体系，包括信息安全管理体系、数据安全管理体系、车安全管理体系。针对人，可以进行相关的信息安全管理，包括安全管理组织、安全管理、安全人员管理、系统运维管理、资产安全管理、应用安全管理、网络安全管理、安全终端管控。针对数据安全管理，可进行数据安全管理、数据分类分级、数据安全采集、隐私保护管理、数据合规管理、数据安全审计、数据跨境管理、数据共享管理、业务数据管理。针对车辆安全管理，可进行整车网络安全威胁分析与风险评估（TARA）、整车信息安全全生命周期管理（CSMS）、车联网安全检测管理。

4.2 构建安全威胁分析与风险评估（TARA）

安全威胁分析及风险评估（TARA），是识别潜在的安全威胁、评估与威胁相关的风险的过程，是ISO21434中威胁分析和风险评估的方法论，属于联合国WP.29 R155对于网络安全管理体系认证（CSMS）的方法论基础，与车辆功能安全领域危害分析和风险评估（HARA）方法论一起，构成了车辆安全的两大方法论。

在整个TARA分析流程中，第一阶段是概念与设计。首先要进行资产识别，比如在威胁场景中要涉及到操作系统、要涉及到哪些协议或控制域等。资产识别完成以后，要进行相关的威胁建模，比如操作系统本身会有哪些风险，某个模块与控制域通过协议交互过程中会有哪些风险，然后进行脆弱性分析、攻击路径分析，并对风险进行估值，设计风险处置与防护方案。

第二阶段要进行研发与测试，对信息安全进行测试，对整体威胁场景进行漏洞挖掘及攻击性行为分析，对识别出来的风险进行验证与处置。

第三阶段是生产、运营、报废阶段，在发现了安全风险后已进行了验证和处置，这一步可以利用OTA进行升级，解决这些安全风险。

4.3 构建汽车信息安全管理体系

基于汽车产品全生命周期的信息安全风险，构建汽车信息安全管理体系，包括构建组织管理体系、产品生命周期管理体系及外部管理体系三部分。

组织管理包括文化治理、信息共享、工具管理，由于车辆本身的复杂性，项目管理体系及其重要。产品生命周期管理包括项目管理、概念、研发、生产、运行、报废六大部分。外部管理包括供应商管理及用户管理。

构建汽车信息安全管理体系的意义

满足合规要求：依据企业实际情况，以满足合规要求为目标，协助推进智能网联汽车信息安全管理体系方案的实施，为汽车信息安全体系认证做准备。

强化内控机制，保障业务连续性：建设和完善汽车信息安全流程和制度，强化过程管理；按照制度强化对汽车整体信息安全工作的管理和协调，保障制度落地。

进一步优化完善现有流程规范：优化完善现有的安全管理体系，以适应智能网联汽车信息安全不断发展的需要。

4.4 构建安全免疫架构

如果把整车看成一个人，人生病的时候会有一定的免疫力，那么也可以给车辆建立一定的免疫能力，通过在云、管、端建立免疫防御能力、免疫监视能力、免疫自稳能力，构建安全防御架构。

云端的免疫防御包括WAF、PKI、接口安全、云原生安全、安全配置、应用安全、授权管理、安全网关。云端免疫监视包括V-SOC、威胁情报、数据安全、业务监控。云端自稳包括数据分类分级、应用安全。

管端的免疫防御包括防中间人、抗DDOS、传输安全、无线安全。免疫监视包括GPS欺骗监控、蓝牙监控。免疫自稳包括V2X通信的安全。

端的免疫防御包括APP安全加固、设备认证、TEE、SecOc、证书和秘钥部署、车载防火墙、主机安全、OTA安全。免疫监视包括车钥匙安全、充电桩安全、车控安全监控、数据采集安全、主机安全、固件刷写。免疫自稳包括TARA、CSMS。

4.5 构建安全开发流程（DevSecOps）架构

DevSecOps是DevOps的延伸，即在软件开发测试的整个生命周期内，将Sec（安全，Security）融入DevOps实践中，提高车辆安全性。

车端研发安全生命周期中，在Epic&Story阶段进行安全可行性&固有风险评估。CODING阶段进行安全编码指南、源代码安全IDE本地扫描。DEV阶段进行源代码安全扫描、开源组件安全扫描。SIT阶段进行APP安全扫描/SDK隐私合规扫描、接口安全扫描、安全渗透测试、输出自动化安全报告。UAT 阶段进行外部渗透测试、Docker安全扫描。产品上线后建立安全运营平台。

一般互联网企业更多关注云端的安全研发流程，但是车端还需要关注APP、嵌入式的研发安全，安全关注度覆盖面更广。

4.6 车联网安全应急响应&威胁情报平台

安全漏洞响应平台是集安全测试、漏洞挖掘、漏洞情报、专家响应、定制化服务于一体的综合性车联网安全服务平台。

安全应急响应：安全部牵头建立应急响应中心，应对各类突发事件，形成应急响应分级标准，联合业务部门依照相关应急预案落地执行，帮助业务正确应对安全事件，降低安全事件带来的损失和影响。

威胁情报：购买第三方威胁情报库、自建威胁情报库

业务联动：业务漏洞修复、法务&市场舆情应对

4.7 安全人才培养

如何进行安全人才培养，可从下面三方面入手。

安全研究

模拟仿真车载系統、云端、APP、总线协议、ECU，将攻击场景还原进行相关的科研研究。

人才培养

内置漏洞靶场所对应的靶标、漏洞库与培训视频，可以进行车联网安全人才培养。

一般互联网企业，只用对安全部门人员进行培训。但车端的安全培训，需要对业务部门比如电子电气架构部门、OTA业务流程部门等相关人员进行车联网安全培训，了解整个OTA流程中存在的风险，提高在方案设计或工作中的安全意识。

竞赛演练

红蓝演练、众测漏洞挖掘、应急演习等活动，进行人才选拔，能力提升。

4.8 极氪车联网安全团队

近年来，越来越多的主机厂建立了车联网安全团队，以提升车联网安全。下面以电动汽车行业的佼佼者极氪车联网安全团队为例，了解车联网安全团队。

极氪车联网安全团队“ZEEKRZERO”是极氪信息安全部门下的单独负责极氪全线车系的车联网安全渗透以及安全研究的团队，成员均来自国内领先的网络安全攻防研究团队，覆盖整车渗透测试的全领域，迄今已有5余项研究议题入选HITB、44Con、Zer0Con等著名国际安全会议，发现的漏洞获得CVE编号50个。团队立足车联网安全领域技术研究车联网安全产品研发、提升内部车联网安全体系，打造全新的车联网内生安全。